随着人工智能、大数据、物联网等新一代信息技术的迅猛发展，教育信息化2.0和智慧校园建设快速推进。武汉高校资源丰富，是在校本专科生超百万、在学研究生超过10万人的“双料大城”，各高校信息化也在如火如荼地建设。
　　不过，高校在信息化建设过程中，仍然存在信息系统多、数据海量且敏感、安全能力薄弱、管理复杂等难题，再加上挖矿木马、勒索病毒、钓鱼邮件等网络安全威胁层出不穷，对高校的信息化建设和网络安全带来极大的挑战。
　　9月27日下午，长江日报联合武汉市网络安全协会、腾讯安全举办的“数创未来·安全护航”——武汉高校信息化建设与网络安全研讨会在线上召开，武汉23所高校信息化负责人、网络安全专家学者相聚云端，共同探讨高校如何构筑网络安全屏障。


　　学生刷身份证通过闸机。
　　网络安全是高校信息化的基础和底板
　　打开手机微信完成报到手续，选宿舍床位、报军训服装尺寸、购生活用品全部线上办理，刷脸进出校园……现在，一身轻松的“开学季”正在武汉多所高校校园内上演。
　　这些靠手机便捷办理的服务缘于高校“十三五”信息化建设的成果。近年来，武汉高校结合自身定位和发展需要，不断加大校园信息化建设，不断加强网络安全保障投入。各个高校根据自身特色、重点，有针对性地解决师生在日常信息化服务中的难点、痛点问题，形成了各自学校具有特色的信息化建设和服务体系。
　　随着信息化的不断推进，挖矿木马、勒索病毒等网络攻击和威胁也日益增长，而教育行业也成为了网络攻击的重点。据Checkpoint统计，2021年、2022年第二季度的每个机构与企业平均每周遭受攻击次数，教育行业列在第一位。
　　公安部第三研究所网安中心副研究员俞少华表示，学校的应用中存储着大量师生个人信息和数据，黑客窃取这些数据售卖可以获利；学校的数据中心拥有大量的计算资源和存储资源，攻击者可以通过攻击服务器获得这些资源，来开展“挖矿”活动，通过虚拟货币来牟利；同时学校还有大量的科研数据、考试数据，攻击者通过攻击获得这些数据后都有利可图，所以黑客会想方设法对高校信息系统进行攻击和入侵。
　　“校园对网络信息安全的要求越来越高与师生体验要求越来越便捷之间的矛盾日益突出，网络安全、社会冲击、系统建设及新技术的应用是当前高校信息化面对的主要挑战。”武汉大学国家网络安全学院教授吴黎兵认为，校园网遭受的网络攻击量巨大，Oday漏洞和APT威胁使安全防护难度增大，网络安全是信息化的基础和底板。
　　武汉市网络安全协会秘书长刘悦恒在致辞中也表示，网络安全绝不仅仅是一个纯粹的技术问题，而是关系国家安全、经济健康发展、社会和谐稳定和社会公共利益的越来越紧迫的综合性课题。


　　学生刷脸进出校园。
　　“安全建设”和“素养培养”需并重
　　近年来，我国也陆续出台了《网络安全法》《数据安全法》《个人信息保护法》以及网络安全等级保护2.0等法律法规，整体构建了网络空间的安全法治保障。俞少华提到，其实教育部从2009年开始就发布了一系列规定，非常重视教育行业的网络安全。“2020年教育部在《教育信息化和网络安全工作要点通知》中，就提到一个核心目标：要不断完善教育网络安全支撑体系，全面提升网络安全人才培养能力和质量，不断提升教育系统网络安全的防护水平。”
　　不过，目前高校的信息化和安全建设仍然存在许多痛点，例如系统多、人员少、管理困难，同时也面临着层出不穷的漏洞风险。无论是日常安全的运维，还是突发状况的应对，都给高校信息化和安全建设带来了较大压力与挑战。
　　对于高校的网络安全建设，腾讯安全资深架构师张飞凡提出了一些建议。在安全合规层面，学校需要检查系统是否达到等保2.0所要求的防护水平，技术措施和管理制度是否齐备。在主动防御层面，网络安全风险=脆弱性×威胁，学校需要建设各种措施去主动识别风险和脆弱性，周期性对重要资产做评估、检测和加固等。在及时对抗层面，学校可以构建一整套包括人员、平台、工具、流程在内的机制，快速发现问题，并及时优化调整自身防护措施。
　　对于安全建设薄弱的高校，首先要做的是把安全能力做补充和弥补，达到基本的合格线，然后基于合格线再做一些提升性的工作。腾讯自研的零信任安全管理系统（腾讯iOA）护航了100万终端的远程办公，可帮助高校解决远程访问中的安全问题，同时“All in One”方案可通过客户端去解决补丁修复、弱口令以及挖矿木马、勒索病毒等一系列问题。
　　另外，在数据中心的重要数据保护方面，腾讯安全可帮助客户梳理重要数据在流转、采集、传输、存储、共享等各环节存在的安全风险和隐患，制定相应的防护措施，提供完整的数据全生命周期安全方案。中国社会科学院国际法研究所副研究员何晶晶也提到，高校需要建立起全生命周期的数据合规管理体系。
　　实际上，在网络安全的场景中，人员都是最脆弱的元素。俞少华表示，“网络安全素养需要常态化的素养教育。”高校需要开展网络安全教育培训、网络安全科普和宣传活动、网络安全攻防演练活动。通过高仿真、沉浸式真实场景，让广大师生切实体会“钓鱼邮件”的迷惑性和隐蔽性，从而提高警惕性。
　　整体来看，要确保高校网络安全素养教育常态化、体系化，需从顶层设计入手，完善制度机制、加强部门协同、保障经费投入、做好督查考核这些方面都是必不可少的。
　　专访
　　中国社会科学院国际法研究所副研究员何晶晶：
　　安全不代表“合规”，需做好全生命周期数据合规管理


　　“数据安全不代表数据合规了，这其实是两个维度的事情。”在9月27日举办的武汉高校信息化建设与网络安全研讨会上，中国社会科学院国际法研究所副研究员何晶晶强调。
　　在她看来，数据安全建设是确保网络不被攻击、数据不被泄露，而数据合规是需要满足法律法规要求。整体来说，数据合规治理需要“合规”与“安全”并重。
　　而高校的数据合规，是特别值得关注的。何晶晶指出，高校的数据不仅体量大，而且敏感性较高。首先，高校有着大量学生、教职工的个人信息，包括身份证、家庭住址等，这些数据都是整理归纳得非常好的。另外，高校还有着大量的实验数据和宝贵的科研成果，涉及到一些重要论文、研究项目等等。
　　“所以高校在处理数据合规的问题上需要有一个‘全流程’的概念，从数据收集、存储、使用，到后面的交换、销毁，每个阶段都要满足数据合规的要求，要做到全生命周期的数据合规管理。”何晶晶表示。
　　从个人信息保护的角度出发，数据收集阶段，高校宜做到公示个人信息收集规则，如知情同意书和隐私政策文本，收集规则宜明确各项师生权利，规范收集个人信息的合法性、必要性、授权机制；高校宜遵循收集告知同意原则，在师生同意后才可收集师生个人信息，且实际收集的个人信息宜与收集规则一致；收集生物识别信息等敏感个人信息时宜取得师生个人单独同意且在必要范围内使用。
　　数据传输与存储阶段，高校存储师生个人信息的期限宜为师生授权使用目的所需最短时间，超出存储期限后宜删除或匿名化；高校宜制定数据分级分类制度，梳理重要数据目录，明确敏感数据范围；存储数据的方式强调安全性和保密性，传输数据和存储数据均要求加密和去标识化处理；数字校园建设宜进行容灾备份，避免数据丢失带来的损失。
　　数据使用与访问阶段，数据使用不宜超出收集师生个人信息时所声称的目的；高校通过大屏或小屏界面展示使用个人信息时宜采取去标识化措施，根据师生画像形成的算法模式宜符合科技伦理要求；高校相关人员进行数据访问时宜遵循最小授权访问策略，对重要数据访问操作宜做内部审批，超权限数据访问宜进行审批和记录在册，访问敏感个人信息时宜结合具体业务触发授权机制；对于离岗职员与外部人员宜进行数据访问限制。
　　数据交换与销毁阶段，高校将数据提供给第三方时需要获取师生个人单独同意，数据共享、转让、披露给第三方时宜对第三方进行必要的尽调、约束；高校接入第三方系统时宜进行安全管理；对于数据销毁处理，高校宜建立负责数据销毁处理职能部门，根据具体情况采取本地或网络数据销毁、物理或化学销毁等措施。
　　针对高校当前的数据安全现状，何晶晶建议可以从以下三方面入手，提高高校对数据合规的重视程度：首先，建立并完善高校数据合规监管体系。教育系统应制定各项数据合规标准规范体系，进行等级保护测评及风险评估，持续开展数据合规性检查和指导工作，构建数据合规及监管管理体系；其次，建立全流程的高校数据安全运营体系。通过测绘高校在互联网中数据资产的分布，建设覆盖全方位的数据安全态势感知体系，构筑全天候的威胁攻击防御堡垒，并组建数据安全应急中心，全面提升高校的数据安全防护能力；最后，建立全生命周期的高校数据合规管理体系。从数据的收集、存储、使用、访问、交换、销毁等流程对高校数据进行管理，对流程中的关键环节的操作规范、分类分级管理、部门职责分工、应急安全检查机制、责任追究等进行全方位管控，重点关注师生个人信息保护。
　　谈及对武汉高校的信息化建设的印象，何晶晶表示，武汉拥有众多知名高校，为社会培养并输送了大量专业化人才，整体信息化建设做得很不错。
　　“从数据安全与个人信息保护角度看，武汉也特别重要，高校密集度非常高，个人信息、科研数据等数量庞大，在数据安全、数据合规方面更要注意。”何晶晶说，“武汉高校也可以加强对合规科技的应用，充分利用一些技术手段探索合规落地的新方法。”
　　圆桌论坛
　　武汉高校专家共话校园网络安全建设
　　在9月27日举行的武汉高校信息化建设与网络安全研讨会上，各高校的信息化负责人以及研究学者围绕高校网络安全话题展开了深入的讨论，畅谈当下高校网络安全的解决之道。


　　议题1：校园信息化发展的建议
　　武汉大学国家网络安全学院教授吴黎兵：
　　网络安全事关国家安全，应当引起师生们的高度重视。高校一方面要确保核心数据不丢失、不被篡改、不被窃取，另一方面要防范勒索病毒、挖矿木马等的攻击和威胁。需要构建校园网络安全态势感知平台，筑牢网络安全防线。
　　建议高校多途径、全方位提高数据安全防护能力。定期组织内部攻防演练，查找漏洞和安全威胁，防止攻击者利用系统漏洞获取权限，攻入校内信息系统。对关键数据采用密文存储的方式将数据加密保存在服务器中，授权使用者直接在密文数据上进行查询、计算等操作，解决数据的放心存、安全用问题。
　　使用堡垒机进行运维管理，过滤掉对目标设备的非法访问，对内部人员误操作和越权行为进行审计监控，以便事后责任追踪；及时清理陈旧系统，防止被拖库，造成数据泄露。
　　进一步推动安可工程，用自主可控、安全可靠的关键软硬件产品替代国外信息技术产品，防止后门和硬件木马。
　　湖北工业大学计算机学院院长叶志伟：
　　目前各高校都在推进智慧校园建设，在为师生带来服务便利的同时，也带来了一定的数据安全风险。因此，高校需要加强数据安全建设。健全学校数据安全和隐私的保护机制，在智慧校园建设的同时考虑制定学校自身的数据安全管理办法。要全校一盘棋，各个部门协同针对不同的用户，建立数据分级分类管理办法、数据开放共享标准等规章制度，形成学校统一、完整的数据安全和隐私保护链条。
　　多数地方高校智慧校园建设正处于从有到优的提升阶段，需要投入更多资源提升基于新技术的数据安全防护能力。随着云计算、大数据、人工智能、5G等新技术的应用，给传统的数据安全带来了挑战，应采取数据加密、数据脱敏、数据备份和细粒度访问控制等措施，加强数据安全和隐私保护能力。
　　发挥高校人才培养和武汉作为国家网络安全人才和创新基地区位优势，办好网络空天安全、信息安全、密码学等相关专业，做好网络安全人才培养工作，联合入驻国家网络安全人才和创新基地的头部企业，开展校企联合培养一大批高素质的网络安全人才，服务网络强国战略。
　　武汉交通职业学院电子与信息工程学院院长胡迎九：
　　高校数据安全隐患主要体现在：网络安全意识薄弱、网络系统存在漏洞；数据资产规模大，二级部门多，数据使用方式多，接触数据的用户、系统数量庞大，难以确保身份合法性并且杜绝数据越权使用；业务系统数据标准不统一，普遍存在数据缺失、数据冗余、多源异构及边界模糊等历史遗留问题，阻碍数据安全治理高效落地；高校信息化部门缺乏数据安全的专业人才，数据安全保护不力，容易造成个人信息泄露。
　　高校需要加强数据安全建设，让数据使用合法合规，严格依照相应的法律法规制度，这些法律法规不仅仅是一个约束的条件，它实际上也是我们进行数据安全信息安全保障的一个思路；加强宣传教育与培训，培养数据安全思维与运用能力，针对教师、学生、管理者等重点群体，强化数据安全专题培训；还要建立健全完善的网络数据安全管理制度，筑牢数据安全防护墙。采取安全技术措施，确立合理的操作规程，可采用“权限分层+技术控制”的双重方式建立数据操作流程。
　　议题2： 网络安全维护实践应用
　　武汉科技大学网络信息中心副主任涂伟：
　　省属高校的信息化工作，一方面要支持职能部门工作，另一方面要从技术角度帮忙分析实际成本和可能收益，通过需求分析、先行测试、分批投入等多种途径，减少浪费。信息化工作更要重视制度设计。
　　高校许多信息化项目是有替代的社会化解决方案的，比如网上问卷或投票、线上教学或考试、校车定位、食堂消费、网盘邮箱等，许多方案免费或成本极低，省属高校可与这些细分领域的优势厂商合作，签订稳定的合作协议。在新一轮智慧校园建设中，准确定位，发挥优势，降低成本，练好内功，以“持久战”的心态和必胜的信心，精耕细作，重视积累，行稳致远。
　　在网络安全方面，学校的人才比资金更重要，要有自己的核心队伍；由于便利性和安全性很多时候是矛盾的，需长期培养师生安全意识；要用制度和合规性要求来倒逼网络安全工作，明确各方责任，通过检测和巡查，发现、通报和整改形成闭环以持续改进。
　　武汉理工大学网络信息中心副主任黄仕勇：
　　对于高校的网络安全问题的认识，一是要不断提高站位，它不仅仅是防范电信诈骗等这类问题，有些还事关国家安全；二是要充分认识到工作的复杂性，既有技术问题，也有管理问题，技术和信息的不对称都增加了工作的难度。
　　要健全保障体系，网络安全的职能部门和技术支撑部门要密切协同，要按照大安全工作格局组织协调好学校内部各项事项；要坚持开放的思路，与上级部门，地方网信、网安部门，行业组织，专业的社会化力量保持密切联系，及时获取相关的信息，科学研判，主动应对；职能部门和技术支撑部门要联系单位实际，分清轻重缓急，采取点、线、面相结合的工作方式，减存量，控增量，保持定力，久久为功；要通过多种途径开展全员培训，增强网络安全意识，提高网络安全技术素养，不断提升高校的网络安全工作水平。
　　武汉学院信息中心主任肖磊：
　　现在，各个学校的信息化建设都有了明显提升，一卡通充值、财务报销、科研资料查阅等繁琐程序，都用信息化的手段来解决了，创造了一个好的教学环境，让师生能够更好地投入到教学和学习之中。
　　学院推出“信息服务网格化管理”，信息中心的信息网格员深入学院贴近服务对象，主动了解服务需求，及时协调服务资源，收集老师们的问题与建议，并及时反馈各项工作的进展，从而提供更高水平的信息服务。
　　同时，引入网络安全相关培训内容，配合学校攻防演练让师生更深刻地体验到身边的安全问题，还通过举办学校层面的安全竞赛，挖掘对网络安全感兴趣的同学，进而组建网络安全生力军。通过网络方式提高学生信息化素养，锻炼学生技术能力。
　　（长江日报见习记者李伊珏）